-
09/04/2020
-
128
-
1.666 bài viết
Chiến dịch tấn công nhắm vào hạ tầng trọng yếu châu Á: Khai thác máy chủ web, đánh cắp mật khẩu
Các nhà nghiên cứu của Palo Alto Networks Unit 42 vừa phát hiện một chiến dịch tấn công mạng kéo dài nhiều năm nhắm vào các tổ chức thuộc hạ tầng quan trọng tại châu Á. Hoạt động này được theo dõi dưới tên CL-UNK-1068 và đã ghi nhận các mục tiêu trong nhiều lĩnh vực trọng yếu như hàng không, năng lượng, cơ quan chính phủ, lực lượng thực thi pháp luật, viễn thông, công nghệ và dược phẩm.
Theo báo cáo, chiến dịch có dấu hiệu rõ ràng của hoạt động gián điệp mạng, tập trung thu thập dữ liệu nhạy cảm và thông tin đăng nhập từ các hệ thống mục tiêu.
Theo báo cáo, chiến dịch có dấu hiệu rõ ràng của hoạt động gián điệp mạng, tập trung thu thập dữ liệu nhạy cảm và thông tin đăng nhập từ các hệ thống mục tiêu.
Khai thác máy chủ web để thiết lập điểm xâm nhập
Chuỗi tấn công thường bắt đầu bằng việc khai thác lỗ hổng hoặc sai cấu hình trên các máy chủ web công khai Internet. Sau khi xâm nhập thành công, tin tặc cài đặt các web shell như Godzilla và AntSword nhằm duy trì quyền truy cập từ xa và thực thi lệnh trên hệ thống.
Từ các máy chủ bị kiểm soát, kẻ tấn công tìm kiếm các tệp cấu hình và mã nguồn quan trọng trong thư mục C:\inetpub\wwwroot của máy chủ IIS, bao gồm các tệp:
Từ các máy chủ bị kiểm soát, kẻ tấn công tìm kiếm các tệp cấu hình và mã nguồn quan trọng trong thư mục C:\inetpub\wwwroot của máy chủ IIS, bao gồm các tệp:
- web.config
- .aspx, .asmx, .asax
- .dll
Những tệp này có thể chứa chuỗi kết nối cơ sở dữ liệu, thông tin xác thực hoặc cấu hình bảo mật, giúp tin tặc tiếp tục mở rộng quyền truy cập trong hệ thống. Ngoài ra, chúng còn thu thập lịch sử trình duyệt, bookmark, tệp XLSX/CSV của người dùng và các bản sao lưu cơ sở dữ liệu MS-SQL (.bak).
Đánh cắp dữ liệu và thông tin đăng nhập
Một kỹ thuật đáng chú ý trong chiến dịch là cách trích xuất dữ liệu mà không cần tải file trực tiếp ra ngoài. Tin tặc nén dữ liệu bằng WinRAR, sau đó sử dụng lệnh certutil -encode để mã hóa Base64 và hiển thị nội dung này thông qua web shell. Nhờ vậy, dữ liệu có thể được sao chép từ màn hình điều khiển mà không tạo lưu lượng truyền file rõ ràng.
Sau khi xâm nhập sâu hơn vào hệ thống, nhóm CL-UNK-1068 triển khai nhiều công cụ quen thuộc trong các chiến dịch APT nhằm đánh cắp thông tin xác thực và duy trì truy cập, bao gồm:
- Mimikatz để trích xuất mật khẩu và hash đăng nhập từ bộ nhớ Windows
- FRP (Fast Reverse Proxy) để thiết lập đường hầm truy cập từ xa
- PrintSpoofer nhằm leo thang đặc quyền hệ thống
- Xnote, một backdoor hoạt động trên Linux
- các công cụ phân tích bộ nhớ như Volatility và DumpItForLinux
Theo nhận định của WhiteHat, chiến dịch này cho thấy nhiều cuộc tấn công APT hiện nay không nhất thiết phải sử dụng lỗ hổng zero-day phức tạp. Thay vào đó, kẻ tấn công tận dụng máy chủ web chưa được vá, cấu hình kém an toàn cùng các công cụ mã nguồn mở sẵn có để âm thầm duy trì truy cập trong thời gian dài. Các tổ chức cần vá lỗ hổng kịp thời, giám sát hoạt động bất thường và kiểm soát việc sử dụng các công cụ quản trị hệ thống nhằm giảm thiểu nguy cơ bị xâm nhập.
Theo The Hacker News
Chỉnh sửa lần cuối: